← Wszystkie porady

Zbyt szerokie uprawnienia pliku wp-config.php

Co to oznacza

Jeśli plik wp-config.php na Twojej stronie ma uprawnienia, które pozwalają na odczyt przez zbyt szeroką grupę użytkowników, stanowi to poważne zagrożenie. Jest to najważniejszy plik konfiguracyjny WordPress — zawiera dane dostępowe do bazy danych, klucze bezpieczeństwa i inne krytyczne ustawienia.

Typowe problematyczne uprawnienia:

  • 666 / 777 (krytyczne) — każdy użytkownik na serwerze może czytać i zapisywać plik
  • 644 / 640 (ostrzeżenie) — plik jest czytelny dla szerszej grupy niż to konieczne

Jakie jest ryzyko

  • Wyciek danych dostępowych do bazywp-config.php zawiera host, nazwę bazy, login i hasło MySQL. Atakujący z dostępem do innego konta na serwerze współdzielonym może odczytać te dane.
  • Wyciek kluczy bezpieczeństwa — klucze AUTH_KEY, SECURE_AUTH_KEY itd. służą do szyfrowania ciasteczek sesji. Ich poznanie pozwala na fałszowanie sesji administratora.
  • Modyfikacja konfiguracji — przy uprawnieniach do zapisu (666/777) atakujący może zmienić konfigurację: wskazać inną bazę danych, włączyć debugowanie lub wstrzyknąć złośliwy kod PHP.

Jak to naprawić

  1. Ustaw uprawnienia 600 (rekomendowane) — tylko właściciel pliku może czytać i zapisywać: 
    chmod 600 wp-config.php
  2. Alternatywnie ustaw 400 — tylko odczyt dla właściciela (bardziej restrykcyjne): 
    chmod 400 wp-config.php
  3. Sprawdź właściciela pliku — musi to być ten sam użytkownik, pod którym działa serwer WWW: 
    chown www-data:www-data wp-config.php
  4. Przenieś wp-config.php — WordPress automatycznie szuka wp-config.php o jeden katalog wyżej niż instalacja. Przeniesienie go poza public_html ukrywa go przed bezpośrednim dostępem z sieci.